Las preguntas de seguridad son una mala idea, y aquí está el porqué

Desde que tenemos contraseñas y cuentas, siempre ha habido hackers tratando de apoderarse de ellas. Más importante aún, las personas también han estado olvidando sus contraseñas. Para recuperarlas, el proveedor de la cuenta a menudo implementa una serie de preguntas a las que proporcionas tus “respuestas secretas”. Este sistema ha funcionado bien durante muchos años, pero está plagado de formas que facilitan el trabajo de los hackers. Aunque las respuestas son secretas, ,,,kk per se, parece que en realidad estás sacrificando tu seguridad con la esperanza de que algún día este sacrificio te ayude a recuperar tu contraseña.

Qué hace que las preguntas de seguridad sean horribles para la seguridad

securityquestions-forgotpassword

El 21 de mayo de 2015, Google publicó una investigación sobre todo el esquema de preguntas de seguridad. Aparentemente, “¿cuál era el nombre de tu primera mascota?” puede ser el eslabón más débil en tu seguridad, y puede llevar tu cuenta a los hackers en una bandeja de plata. Mientras que puedes crear contraseñas que son imposibles de adivinar, las preguntas de seguridad para la recuperación están diseñadas de tal manera que deberías poder responderlas fácilmente. Esto funciona bien cuando usas respuestas oscuras que nadie más puede adivinar, pero horrible si tu mascota (por ejemplo) tiene un nombre muy común como “Max” o “Spot”. Si nombraste a tu perro “Ulises” o “Peruggia”, entonces podrías tener una oportunidad, aunque no sea muy prometedora.

También puedes elegir la opción B, que es mentir sobre la respuesta a tu pregunta (es decir, responder “Offram Klingmanstein III” cuando te pregunten cuál era el apellido de soltera de tu madre). El problema con esto es que terminas con otra cosa más que debes recordar. Recordar respuestas sobre las que mentiste es tan difícil como recordar la contraseña que olvidaste en primer lugar. Esta no es una solución, sino una carga adicional.

¿Qué debería reemplazar estas preguntas?

securityquestions-selection

Además de los problemas de seguridad que introducen las preguntas, solo añaden confusión para aquellos que no pueden recordar la ciudad en la que nacieron o los nombres de su primera mascota (sí sucede). Las personas que te conocen bien también pueden acceder fácilmente a tus cuentas con este método. Esperamos haber llegado a la conclusión de que algo necesita reemplazar el método de “respuesta secreta”. Afortunadamente, hay muchos buenos contendientes para reemplazos, siendo uno de los mejores la autenticación de dos factores.

El método de “respuesta secreta” fue inventado antes de que las personas tuvieran comúnmente teléfonos celulares que pudieran abrir mensajes SMS. En este punto de la historia, prácticamente todos con acceso a Internet tienen un teléfono celular. De 7 mil millones de personas, hay aproximadamente 6.8 mil millones de teléfonos. Google ha adoptado un nuevo método de autenticación que implica enviar una contraseña de un solo uso a través de SMS para la recuperación. Para aquellos sin teléfonos, podrían usar un correo electrónico de respaldo de una persona de confianza o uno que ellos mismos usen para la recuperación. Este método hace que sea muy difícil “adivinar” cómo acceder a una cuenta sin el teléfono del usuario.

Al usar la autenticación de dos factores, resuelves dos cosas al mismo tiempo:

Minimizas el riesgo de que una persona no recuerde su “respuesta” ya que el código SMS único se entrega al usuario a pedido, y
Creas un método de recuperación que es casi irrompible ya que el hacker necesitaría tener acceso a un objeto físico que el usuario posee.

¿Puedes pensar en algo más para reemplazar el método de respuesta secreta? ¡Deja tus pensamientos en un comentario a continuación!